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(57) Abstract: A cryptography method using a key holder having a number m = 1 of private keys Q l9 Q 2 , , Q„, and respective public 
keys Gi, G 2 , , G m , where each key pair (Q h G t ) (where i = 1, , m) fits either the equation G, - Q t v mod n, or the relation G t xQ?' - 
1 mod n, where n is a public integer equal to the product of/private prime factors (where/> 1), denoted by p 1? . .., p f , of which at 
least two are different, and exponent v is a public integer equal to a power of 2. In particular, the invention teaches the mathematical 
structure that can be imparted to the public keys in order to make it impossible to calculate said private keys (within a reasonable 
amount of time) on the basis of the public parameters, unless the prime factors are known. The invention further relates to various 
devices for carrying out the method. 



|^ (57) Abrege : L invention concerne un procede de cryptographie mettant en jeu un detenteur de cles possedant un nombre m > 1 
de cles prrveesQi,Q 2 , . . .,Q,„ et de cles publiques respectives Gi,G 2 ,. ..,G m , chaque paire de cles (Q h Gi) (ou i=l,...,m) verifiant soit la 
relation G ( = Q { v mod n, soit la relation G t x Q ( "=1 mod n, ou n est un entier public egal au produit de/facteurs premiers prives (ou 
f> 1), notes pi,...,pfi dont deux au moins sont distincts, et l'exposant v est un entier public egal a une puissance de 2. L'invention 
enseigne notamment quelle structure mathematique on peut donner aux cles publiques de maniere a ce qu'il soit impossible, a partir 
desdits parametres publics, de calculer (en un temps raisonnable) lesdites cles privees, a moins de connaitre lesdits facteurs premiers. 
L'invention concerne egalement divers dispositifs destines a mettre en oeuvre ce procede. 
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Precedes et dispositifs cryptograph iaues sans transfert de connaissance 



La presente invention concerne la cryptographie a cles asymetriques 
(egalement appelee "cryptographie a cie publique"). Plus precisement, elle 
5 concerne un procede et un systeme servant a verifier I'authenticite d'une 
entite connue ou d'un message provenant d'une entite connue, ou encore a 
signer un message. 

On rappelle que les systemes de cryptographie a cles asymetriques 
comprennent des detenteurs de paires de cles, chaque paire comprenant 

10 une cle dite "publique" et une cle dite "privee" (chaque cle pouvant d'ailleurs 
comporter plusieurs parametres). Chaque cle publique est liee a Tidentite de 
son detenteur par une autorite de certification. Les systemes de 
cryptographie a cles asymetriques comprennent egalement des entites 
appelees "controleurs", qui ont enregistre un certain nombre de cles 

15 publiques conjointement avec les identites certifiees de leurs detenteurs. 

Depuis Tinvention du procede cryptographique a cles asymetriques 
dit "RSA" (initiales des inventeurs R. Rivest, A. Shamir et L. Adleman, cf. 
I'article de M. Gardner intitule "A new kind of cipher that would take millions 
of years to break 1 , Scientific American, aout 1977), le probleme de la 

20 factorisation des nombres entiers a fait I'objet d'intenses recherches. Malgre 
de notables progres (resultant d'ailleurs davantage de revolution de la 
puissance des ordinateurs que de celle des algorithmes de factorisation), on 
ne connait toujours pas de methode permettant de factoriser un grand 
nombre entier en un temps raisonnable. C'est done a juste titre que les 

25 utilisateurs font confiance au procede RSA. 

Chaque mise en oeuvre du procede RSA est associee a un entier 
appele "module", note n , qui est le produit de deux grands facteurs premiers 
distincts p l et p 2 . Compte tenu des capacites de calcul actuelles, il est 

conseille d'utiliser des modules de 1024 bits (de Tordre de 10 308 ) au moins. 
30 Une cle publique RSA comprend le module n, et un "exposant" e qui est 
premier avec (p x -l) et avec (p 2 -l). La cle privee RSA correspondante 
comprend un "exposant" d tel que : 

e x d = 1 mod - l)(p 2 - 1)] 

(le symbole "mod" signifie "modulo"). La securite de ce procede repose sur 
35 le fait quMI est impossible en un temps raisonnable de calculer d a partir de 
n et e si Ton ne connaTt pas les facteurs p x et p 2 . Comme explique ci- 
dessus, il n f est pas possible de calculer ces facteurs (qui sont naturellement 
tenus secrets) en un temps raisonnable. 

La procedure cryptographique dite "d'authentification d'entites" met 
40 en presence un controleur et un detenteur de cles, appele ici 
"demonstrateur", qui souhaite etre authentifie par le controleur afin de 
recevoir une certaine autorisation, par exemple un droit d'acces a des 
ressources informatiques. Le demonstrateur declare son identite au 
controleur et doit lui prouver qu'il detient bien la cle privee correspondant a la 
45 cle publique liee a cette identite. 
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II est possible de realiser cette authentification sans que le 
demonstrates ne divulgue la moindre information sur sa cle privee au 
controleur: on parle alors d'authentification "sans transfert de connaissance" 
(en anglais, "zero-knowledge proof). Cette technique a ete decrite dans sa 
5 generality par S. Goldwasser, S. Micali et C. Rackoff dans leur 
communication au "17 th ACM Symposium on the Theory of Computing 11 
intitulee "The Knowledge Complexity of Interactive Proof Systems" (Actes 
pages 291 a 304, 1985). 

Dans Particle intitule "Zero-knowledge Proofs of Identity" (Journal of 
10 Cryptology, vol. 1, pages 77 a 94, 1988), U. Feige, A. Fiat et A. Shamir ont 
propose un precede cryptographique "sans transfert de connaissance", dans 
lequel le demonstrates, d'une part, detient une cle privee Q, et d'autre part 

a publie un module RSA n ainsi qu'une cle publique G = Q 2 modn (le calcul 
de Q a partir de G , c'est-a-dire le calcul d'une racine carree modulo n , est 
15 impossible en un temps raisonnable a moins que Ton ne connaisse les 
facteurs premiers de n ). 

En ce qui concerne 1'application de ce procede a I'authentification 
d'entites, la procedure dite de "Fiat-Shamir" comprend les etapes 
interactives suivantes: 

20 1. Etape d'engagement: le demonstrates choisit aleatoirement un entier 

r, calcule Tengagement" R = r 2 mod n, et envoie Tengagement au 
controleur; 

2. Etape de defi: le controleur choisit aleatoirement un entier d appele 
"defi", qui peut prendre la valeur 0 ou la valeur 1, et envoie ce defi au 

25 demonstrates; 

3. Etape de reponse: le demonstrateur calcule la "reponse" 
D = rxQ d mod n , et envoie cette reponse au controleur; et 



4. Etape de verification: le controleur calcule 
le resultat est bien egal a Tengagement R . 



r D 2\ 



mod n , et verifie que 



30 II est de plus conseille, pour une plus grande securite, de repeter 

toute cette procedure "en serie" un nombre de fois aussi grand que possible 
(en faisant varier r et d a chaque fois) avant de considerer que 
Tauthentification a bien ete effectuee. 

II s'agit bien d f une procedure "sans transfert de connaissance", car 
35 un observateur ne peut, a partir des donnees echangees, calculer la cle 
privee Q du demonstrateur. 

Selon une variante, dite de "Feige-Fiat-Shamir" ou "en parallele", le 
demonstrateur detient un nombre m>\ de cles privees Q l ,Q 2 ,-,Q m , a 
publie, outre un module RSA n , une pluralite de cles publiques respectives 
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G t ,G 2 ,... 9 G m , ou Gt^Qfmo&n pour z=l,...,m. On met alors en oeuvre !es 
etapes suivantes: 

1. Etape d'engagement le demonstrateur choisit aleatoirement un entier 
r, calcule Tengagement" i? = r 2 mod n, et envoie Tengagement au 

5 controleur; 

2. Etape de defi: le controleur choisit aleatoirement m defis d 19 d 2 ,... 9 d m1 
ou d i est egal a 0 ou 1 pour i = l,...,iw, et envoie ces defis au 
demonstrateur; 

3. Efape c/e reponse: le demonstrateur calcule la reponse 
10 D = rxQ/ 1 x 2/ 2 x ...x Q/" mod n , 

et envoie cette reponse au controleur; et 

4. Etape de verification: le controleur calcule 

mod n , et verifie que le resultat est bien egal a 



D 2 



{G^xG 2 d >x...xG m d >») 
Tengagement R . 

15 Cette variante "en parallele" permet d'accelerer la procedure 

d'authentification de Fiat-Shamir par rapport a la variante "en serie" 
mentionnee ci-dessus. 

On notera d'ailleurs que les calculs requis pour mettre en oeuvre 
Tune ou Pautre de ces variantes peuvent etre reduits si le demonstrateur 
20 utilise le "theoreme des restes chinois" (bien connu des experts en theorie 
des nombres). II peut operer de la maniere suivante. 

Considerons tout d'abord le calcul de Tengagement R . Pour un 
module n^p x xp 2 , ou p x <p 2 , soit C le nombre positif inferieur a p x tel que 
p x divise (j7 2 xC-l)(ce nombre C est connu sous le nom de "reste 
25 chinois"). Le demonstrateur choisit aleatoirement deux entiers r x et r 2 tels 
que 0 < r x < p x et 0 < r 2 < p 2 , et calcule les deux "composantes d'engagement" 
R x = r 2 mod p l et R 2 = r 2 mod p 2 . La valeur de Tengagement s'en deduit 
selon: 

R = zxp 2 +R 2 , ou z = Cx(R x -R 2 ) . 

30 Ensuite, concernant le calcul de la reponse D, le demonstrateur 

peut operer de la maniere suivante. Definissons, pour z=l,...,m, des 
"composantes de cles privees" Q i x = Q t mod p 1 et Q i 2 = Q t mod p 2 . Le 
demonstrateur calcule d'abord les deux "composantes de reponse" 

A = n x a/ 1 x Q2/ 2 x Qj m ™°d Pi - et 
35 D 2 =r 2 xQ 12 l xQ 22 d2 x...xQ w /» mod^ 2 . 
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II obtient ensuite la valeur de la reponse selon: 

D = zxp 2 +D 2 , ou z = Cx(D l -D 2 ) . 

L'avantage de cette methode de calcul "a la chinoise" est que le 
demonstrateur calcule modulo p x et modulo p 2 au lieu de modulo n , dans 
des conditions ou les nombres p x et p 2 sont generalement beaucoup plus 
petits que n . 

La procedure d'authentification d'entites de Fiat-Shamir peut etre 
aisement transposee a la verification par un controleur qu'un message M 
qu'il a regu lui a bien ete envoye par un certain detenteur de cles, appele ici 
aussi "demonstrateur". Cette procedure d'authentification de messages 
comprend les etapes interactives suivantes: 

1 . Etape d'engagement le demonstrateur choisit aleatoirement un entier 
r, et calcule d'abord I'engagement R = r 2 modn, puis le "titre" 
(egalement appele le "jeton") T = h(M,R), ou h est une fonction de 
hachage (par exemple I'une des fonctions definies dans la norme 
ISO/IEC 101 18-3), et enfin envoie ce titre T au controleur; 

2. Etape de defi: le controleur choisit aleatoirement un defi d , qui peut 
prendre la valeur 0 ou la valeur 1 , et envoie ce defi au demonstrateur; 

3. Etape de reponse: le demonstrateur calcule la reponse 
D = rxQ d mod n , et envoie cette reponse au controleur; et 



f r D 2\ a 



mod n 

J 



et 



4. Etape de verification: le controleur calcule h 

verifie que le resultat est bien egal au titre T . 

On peut enfin transposer la procedure d'authentification d'entites de 
Fiat-Shamir de maniere a definir une procedure de signature d'un message 
M qui est envoye a un controleur par un certain detenteur de cles, appele ici 
"signataire"; on notera qu'une procedure de signature n'est, quant a elle, pas 
interactive. Le signataire detient une pluralite de cles privees Q u Q 29 ...,Q m , ou 
m est grand par rapport a 1, et a publie, outre un module RSA n, des cles 
publiques respectives G 15 G 2? ... 5 G W , ou G,. = £X 2 modn pour z=l,...,m. Cette 
> procedure de signature comprend les etapes suivantes (auxquelles on a 
donne respectivement les memes noms que ci-dessus par analogie): 

1. Etape d'engagement: le signataire choisit aleatoirement m entiers r n 
ou i = l,...,m l et calcule d'abord les engagements R. =^. 2 modw, puis 
le titre T = h(M 9 X i9 R 29 ... 9 R m ) , ou h est une fonction de hachage 

; produisant un mot de m bits, et enfin envoie ce titre T au controleur; 

2. Etape de defi: le signataire identifie lui-meme les bits d 19 d 29 ... 9 d m du 
titre T ; 
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3. Etape de reponse: le signataire calcule les "reponses" 
D i = r t x Q. di mod n , et envoie ces reponses au controleur; et 

4. Etape de verification: le controleur calcule 



h 



f r^2 ^ 



Af, 



A 



mod 



mod/?,..., 



modn 



J 



et verifie que le resultat est bien egal au titre T . 

Examinons a present de plus pres la question de la securite du 
procede de Fiat-Shamir. Par exemple, concernant la procedure 
d'authentification d'entite succinctement exposee ci-dessus, est-il possible 
pour un imposteur (c'est-a-dire une entite connaissant le module RSA n et la 
cle publique G , mais ne connaissant pas la cle privee Q de I'entite qu'elle 
pretend etre) de tromper le controleur? 

On notera tout d'abord que le defi, bien qu'aleatoire, ne peut prendre 
que deux valeurs; si un imposteur devine correctement (avec, done, 50% de 
chances de succes) la valeur du defi qui lui sera, au cours de la procedure 
d'authentification, jete par le controleur, pourra-t-il satisfaire a toutes les 
etapes du procede de Fiat-Shamir sans se faire "prendre" par le controleur? 
La reponse a cette question est oui. En effet: 

- si I'imposteur devine que le defi sera d = 0 , alors il fournit au 
controleur un engagement R = r 2 mod n , et une reponse D = r ,ei 

- si I'imposteur devine que le defi sera d=l, alors il choisit un entier 
/>0 quelconque, et fournit au controleur un engagement 
R = l 2 xG mod n , et une reponse D = lxG mod n . 

La procedure de Fiat-Shamir presente done une faiblesse, dont 
I'effet peut toutefois etre attenue, comme indique ci-dessus, si Ton repete 
cette procedure en serie, de maniere a rendre aussi peu probable que 
possible une serie correcte d'anticipations du defi par un imposteur eventuel. 
II en resulte que, pour rendre cette procedure d'authentification suffisamment 
sure, on doit en augmenter considerablement la duree. 

La demande internationale WO-00/45550 divulgue un procede de 
i cryptographie (applicable a une procedure d'authentification d'entite, a une 
procedure d'authentification de message et a une procedure de signature de 
message) ne souffrant pas de cet inconvenient. Selon ce procede, le 
demonstrateur publie non seulement un module RSA n et une cle publique 
G , mais egalement un entier (appele Texposant") v = 2*. ou k (appele 
; "parametre de securite") est un entier superieur a 1 . De plus, 

G = Q V mod n , (1 ) 

ou Q est la cle privee du demonstrateur. 

La procedure d'authentification selon la demande WO-00/45550 
comprend les etapes suivantes: 
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1. Etape d'engagement: le demonstrateur choisit aleatoirement un entier 
r, calcule Tengagement" R = r v modn, et envoie I'engagement au 
controleur; 

2. Etape de defi: le controleur choisit aleatoirement un entier d appele 
"defi", ou 0 < d < 2 k ~ l -1 , et envoie ce defi au demonstrateur; 

3. Etape de reponse: le demonstrateur calcule la "reponse" 
D = rxQ d mod n , et envoie cette reponse au controleur; et 



f D v 

4. Etape de verification: le controleur calcule — -j 
le resultat est bien egal a Tengagement R . 



mod n , et verifie que 



On voit done que dans cette procedure le defi peut prendre 2 k ~ l 
valeurs differentes (au lieu de 2 valeurs seulement selon le precede de Fiat- 
Shamir), ce qui rend une anticipation correcte du defi par un imposteur 
d'autant plus improbable que Ton choisit k grand, et cela pour une seule 
mise en oeuvre de la succession d'etapes ci-dessus. 

Cela etant, on peut bien sur repeter cette procedure s fois en serie 
et/ou utiliser m couples de cles en paraliele, comme explique ci-dessus, afin 
de renforcer la securite; il est alors avantageux de calculer "a la chinoise". 
En pratique, il est conseille de prendre, pour le produit [(k-V)xmxs], une 
valeur au moins egale a 40 en authentification et a 80 en signature (compte 
tenu de ce qu'un attaquant dispose de plus de temps pour "craquer" ie code 
en signature qu'en authentification). 

De plus, selon la demande WO-00/45550, on requiert que la cle 
publique verifie la relation 

G = g 2 mod n , (2) 
ou g est un petit entier superieur a 1 (appele "nombre de base"). On voit en 
effet, en combinant les equations (1) et (2) ci-dessus, qu'il faut trouver un 
couple (g,Q) satisfaisant a Tequation 

Q v =g 2 modn , (3) 

pour n et v donnes; or on peut demontrer que la solution de cette equation 
i (3) n'est possible (en un temps raisonnable) que pour quelqu'un qui connait 
la factorisation du module, e'est-a-dire pour le detenteur des cles. Autrement 
dit, il est aussi complexe de calculer une paire de cles conforme a la 
demande WO-00/45550 a partir des parametres publics correspondants, 
que de factoriser ce nombre n\ on dit que les deux taches sont 
; "equivalentes" en termes de complexite, et qu'un jeu de cles impliquant une 
telle equivalence satisfait au "critere d'equivalence". 

Un premier avantage de cet etat de choses est que Ton dispose ainsi 
d"un niveau de securite de reference (a savoir le probleme de la 
factorisation). Un second avantage est qu^l n'est pas necessaire, pour un 
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detenteur de cles selon la demande WO-00/45550, de faire certifier sa cle 
publique par une autorite de certification, c'est-a-dire d'obtenir de cette 
autorite un certificat liant cette cle publique a I'identite de son detenteur; il est 
seulement necessaire de faire certifier le module RSA n, les autres 

5 parametres etant directement publies par le detenteur lui-meme. En 
revanche, dans le procede de Fiat-Shamir par exemple, il est possible pour 
differentes entites de construire leur propre paire de cles a partir d'un meme 
module RSA (les paires de Fiat-Shamir ne satisfont done pas au critere 
d'equivalence defini ci-dessus), et par consequent chaque cle publique 

10 particuliere doit etre liee par une autorite de certification a I'identite de son 
detenteur. 

Toutefois, on peut montrer qu'il n'existe de solutions a I'equation (3) 
que pour certains modules n particuliers (representant environ un quart de 
tous les modules RSA). Or cela est genant pour une entite souhaitant 

15 produire des paires de cles selon la demande WO-00/45550: si cette entite 
possede deja une collection de modules RSA, elle ne pourra generalement 
utiliser qu'une partie d'entre eux pour construire ces cles, et si elle ne 
possede pas deja de modules RSA, elle aura plus de mal a trouver des 
modules adequats que si tous (ou presque tous) les modules RSA etaient 

20 compatibles avec le procede. 

La presente invention concerne done, selon un premier aspect, un 
procede de cryptographie a cles asymetriques mettant en jeu un detenteur 
de cles possedant un nombre m>\ de cles privees Q x ,Q 2 ,...,Q m et de cles 
publiques respectives G x ,G„...,G m , chaque paire de cles (Q„G^ (ou 
25 i = l,...,m) verifiant soit la relation G t = Q t v mod n , soit la relation 
G t x Q? = 1 mod n , ou n est un entier public egal au produit de / facteurs 
premiers prives (ou / >1), notes p x ,...,p f , dont deux au moins sont distincts, 
et I'exposant v est un entier public egal a une puissance de 2. Ce procede 
est remarquable en ce que 

30 v = 2 6+ \ 

ou k est un entier strictement positif et b = mzx.(b 1 ,...,b f ),ou bj (ou j = l,...,f) 
est le plus grand entier tel que (j> } -l)l2 bj ~ l soit pair, 

et en ce que chaque cle publique G t (ou i = l,...,m ) est de la forme 

G t = gi mod n , 

35 ou les nombres g t , appeles "nombres de base", sont des entiers strictement 
superieurs a 1 , et ou les nombres a, sont des entiers tels que 1 < a t < b et 
tels que Tun d'entre eux au moins est strictement superieur a 1 . 

On notera que la presente invention se distingue de la demande 
WO-00/45550 en particulier en ce que chaque cle publique est ici de la 
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forme G^gf* mod/2, ou Tun au moins des nombres a. est strictement 
superieur a 1,au lieu de G t = g? mod n . 

On montrera dans la description detaillee ci-dessous que, grace a 
ces dispositions, il existe necessairement des cles selon ("invention, c'est-a- 
5 dire des couples (g,Q) satisfaisant aux conditions succinctement exposees 
ci-dessus, et ce, quelle que soit la valeur choisie pour le module n , a de tres 
rares exceptions pres (ces modules particuliers n'etant en pratique jamais 
choisis pour mettre en ceuvre le procede RSA). Autrement dit, n'importe quel 
module RSA est compatible avec le procede selon la presente invention. 

10 Selon des caracteristiques particulieres, Tun au moins desdits 

facteurs premiers p 19 ...,p f est congru a 1 modulo 4, et les entiers a. (ou 
i = l,...,m ) sont tous egaux audit nombre b . 

Grace a ces dispositions, la construction de jeux de cles selon 
Tinvention est considerablement facilitee. 

15 Selon d ! autres caracteristiques particulieres, il existe au moins un 

nombre g s , parmi lesdits nombres de base g l9 ... 9 g mf et deux nombres p t et 
p u differents de 2 parmi lesdits facteurs premiers p^^,p f , tels que, compte 
tenu desdits nombres b^...,b f , 

-si b t =b u , alors (g s \ p t ) = - (g s \pj, et 

20 -si b t <b u , alors (g s \p u ) = -l , 

ou (g s \p t ) et designent les symboles de Legendre de g s par rapport 

a Pt et Pu (la definition des "symboles de Legendre" sera rappelee dans la 
description detaillee ci-dessous). 

On peut montrer que, grace a ces dispositions, les cles obtenues 
25 satisfont au "critere d^quivalence" defini ci-dessus. 

Selon encore d'autres caracteristiques particulieres, ledit procede 
met en presence un controleur et ledit detenteur de cles, appele ici 
"demonstrateur". Ce procede est remarquable en ce qu'il comprend les 
etapes suivantes: 

30 - le demonstrateur choisit aleatoirement un entier r, calcule 

•Tengagement" R = r v mod n , et envoie Tengagement au controleur, 

- le controleur choisit aleatoirement m "defis" d l ,d 2 ,...,d m , ou i =1,— ,m , 
et envoie ces defis au demonstrateur, 

- le demonstrateur calcule la "reponse" 

35 D = rxQ l dl xQ 2 d2 *...xQ m dm modn , 

et envoie cette reponse au controleur, et 
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- le controleur calcule 

D v x G' ldl x G 2 £ld2 x ... x G m £mdm mod n 

ou, pour i = l,... 9 m, ^.=+1 dans le cas ou G. x £>/ = 1 mod w et ^ =-1 dans le 
cas ou G i = Q? mod n , 
5 et verifie que le resultat est bien egal a I'engagement R . 

II importe de noter qu'il n'est pas necessaire pour un controleur et un 
demonstrateur qui mettent en oeuvre ce procede d'echanger I'integralite de 
I'engagement ou de la reponse: en effet, il leur est possible, par convention 
mutuelle, de n'echanger qu'une partie de ces donnees, ou encore le resultat 
10 du hachage de tout ou partie de ces donnees par une fonction de hachage 
predeterminee. 

Naturellement, on peut avantageusement accelerer la mise en 
oeuvre du procede en calculant "a la chinoise". 

Par exemple, concernant le calcul de Tengagement R, le 
15 demonstrateur peut operer de la maniere suivante. Pour un module 
n = p l xp 2 , ou p x <p 2 , soit C le nombre positif inferieur a p x tel que p 1 
divise (p 2 xC-V)(ce nombre C est connu sous le nom de "reste chinois"). 
Le demonstrateur choisit aleatoirement deux entiers r x et r 2 tels que 
0<r 1 < J p 1 et 0<r 2 <p 2 , et calcule les deux "composantes d'engagement" 
20 R x = r* mod p x et R 2 = r 2 mod p 2 . La valeur de Tengagement s'en deduit 
selon: 

R = zxp 2 + R 2 , ou z = Cx(R x -R 2 ) . 

Le demonstrateur peut egalement calculer "a la chinoise" pour 
obtenir la reponse D , de maniere analogue a la methode de calcul decrite 
25 ci-dessus pour le procede de Fiat-Shamir. 

Enfin, on notera que Ton peut se limiter a des defis verifiant 
0<^<2*-l pour z=l v ..,m (ce qui a Tavantage de simplifier les calculs 
aussi bien pour le demonstrateur que pour le controleur). En effet, on verifie 
facilement que, pour deux valeurs de d i differant de 2 k , les valeurs de Q? x 
30 correspondantes se deduisent Tune de I'autre par un facteur g t . Comme la 
publication des cles publiques G i implique essentiellement la divulgation des 
nombres de base g n on voit que Ton assure le meme niveau de securite 
avec des valeurs de defis situees dans Tintervalle 0<d i <2 k -1, qu'avec des 
valeurs de defis sortant de cet intervalle. 

35 Selon encore d'autres caracteristiques particulieres, ledit procede 

permet a un controleur de verifier qu'un message M qu'il a regu lui a bien 
ete envoye par ledit detenteur de cles, appele ici aussi "demonstrateur". Ce 
procede est remarquable en ce qu'il comprend les etapes suivantes: 



WO 2005/081452 



PCT/FR2005/000158 



- 10- 

- le demonstrateur choisit aleatoirement un entier r , et calcule d'abord 
Tengagement" R = r v mod n , puis le "titre" T = h(M, R) , ou h est une 
fonction de hachage, et enfin envoie ce titre T au controleur, 

- le controleur choisit aleatoirement m "defis" d u d 2 ,...,d m , ou i = \,...,m, 
5 et envoie ces defis au demonstrateur, 

- le demonstrateur calcule la "reponse" 

£> = rx Q* 1 x Q 2 2 x ... x Q m d - mod n , 

et envoie cette reponse au controleur, et 

- le controleur calcule 

10 h{M,D v xG* 1 " 1 xG 2 ldl x...xG„* m " m modn) 

ou, pour i = l,...,m , s t = +1 dans le cas ou G,. x Q v = 1 mod n et s t = -1 dans le 
cas ou = Qi mod n , 

et verifie que le resultat est bien egal au titre T . 

La remarque faite ci-dessus concernant les valeurs des defis dans le 
15 precede d'authentification d'entites s'applique evidemment aussi a ce 
procede d'authentification de message. 

On notera egalement que cette procedure d'authentification de 
message est parfois consideree comme une forme de signature du 
message. 

20 Selon encore d'autres caracteristiques particulieres, on peut mettre 

en ceuvre une autre fagon de signer un message. Ce mode de realisation, 
qui permet en effet audit detenteur de cles, appele ici "signataire", de signer 
un message M qu'il envoie a un controleur, est remarquable en ce qu'il 
comprend les etapes suivantes: 

25 - le signataire choisit aleatoirement m entiers r., ou i = l,...,m , et calcule 

d'abord les engagements R=r v modn, puis le titre r = A(M,i? i3 i? 2 ,... 5 i? m ) , ou 
h est une fonction de hachage produisant un mot de m bits, et enfin envoie 
ce titre T au controleur, 

- le signataire identifie lui-meme les bits d x ,d 2 ,...,d m du titre T , 

30 - le signataire calcule les "reponses" D, =r t x Q. d ' mod n , et envoie ces 

reponses au controleur, et 

- le controleur calcule 

h(M, A" x G^ mod n, D 2 V x G/ 2 " 2 mod n,...,D m v x G m s '" d '" mod n) 
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ou, pour i = l,...,m , s i = +1 dans le cas ou G t x Q v = 1 mod n et e t = -1 dans le 
cas ou G t = Q? mod , 

et verifie que le resultat est bien egal au titre T . 

Selon un deuxieme aspect, I'invention concerne divers dispositifs. 

5 Elle concerne ainsi, premierement, un circuit electronique contenant 

un processeur et des memoires. Ce circuit electronique est remarquable en 
qu'il peut etre programme pour mettre en oeuvre, en tant que ledit detenteur 
de cles, Tun quelconque des procedes de cryptographie succinctement 
exposes ci-dessus. 

10 Uinvention concerne aussi, deuxiemement, un circuit electronique 

dedie. Ce circuit electronique est remarquable en qu'il contient des 
microcomposants lui permettant de traiter des donnees de maniere a mettre 
en oeuvre, en tant que ledit detenteur de cles, l'un quelconque des procedes 
de cryptographie succinctement exposes ci-dessus. II peut en particulier 

15 s'agir d'un circuit integre (en anglais, "Application Specific Integrated Circuit" 
ou "ASIC"). 

Ces deux circuits electroniques peuvent par exemple se presenter 
sous la forme d'une "puce electronique". 

Uinvention concerne aussi, troisiemement, un objet portable destine 
20 a etre connecte a un terminal pour echanger des donnees avec ce terminal. 
Cet objet portable est remarquable en ce qu'il contient un circuit electronique 
tel que decrit succinctement ci-dessus, et en ce quMI est apte a stacker des 
donnees d'identification et des cles privees propres audit detenteur de cles. 

Cet objet portable peut par exemple etre une carte a puce, ou une 
25 cle USB. 

Uinvention concerne aussi, quatriemement, un terminal apte a etre 
connecte a un objet portable pour echanger des donnees avec cet objet 
portable. Ce terminal est remarquable en ce qu'il comporte un dispositif de 
traitement de donnees programme pour mettre en oeuvre, en tant que ledit 
30 controleur, Tun quelconque des procedes de cryptographie succinctement 
exposes ci-dessus. 

Uinvention concerne aussi, cinquiemement, un systeme de 
cryptographie comprenant un objet portable et un terminal tels que decrits 
succinctement ci-dessus. 

35 Uinvention concerne aussi, sixiemement, un moyen de stockage de 

donnees inamovible comportant des instructions de code de programme 
informatique pour ['execution, en tant que ledit detenteur de cles, des etapes 
de l'un quelconque des procedes de cryptographie succinctement exposes 
ci-dessus. 

40 Uinvention concerne aussi, septiemement, un moyen de stockage 

de donnees partiellement ou totalement amovible, comportant des 
instructions de code de programme informatique pour Pexecution, en tant 
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que ledit detenteur de cles, des etapes de I'un quelconque des precedes de 
cryptographie succinctement exposes ci-dessus. 

Uinvention concerne aussi, huitiemement, un dispositif de traitement 
de donnees comprenant un moyen de stockage "detenteur de cles" tel que 
decrit succinctement ci-dessus. 

Ce dispositif de traitement de donnees peut par exemple etre un 
ordinateur personnel ou un serveur. 

Uinvention concerne aussi, neuviemement, un moyen de stockage 
de donnees inamovible comportant des instructions de code de programme 
informatique pour I'execution, en tant que ledit controleur, des etapes de Tun 
quelconque des precedes de cryptographie succinctement exposes ci- 
dessus. 

Uinvention concerne aussi, dixiemement, un moyen de stockage de 
donnees partiellement ou totalement amovible, comportant des instructions 
de code de programme informatique pour Texecution, en tant que ledit 
controleur, des etapes de Tun quelconque des precedes de cryptographie 
succinctement exposes ci-dessus. 

Uinvention concerne aussi, onziemement, un dispositif de traitement 
de donnees comprenant un moyen de stockage "controleur" tel que decrit 
succinctement ci-dessus. 

Ce dispositif de traitement de donnees peut par exemple etre un 
ordinateur personnel ou un serveur. 

Uinvention concerne aussi, douziemement, un systeme de 
cryptographie comprenant un dispositif de traitement de donnees "detenteur 
de cles" et un dispositif de traitement de donnees "controleur" tels que 
decrits succinctement ci-dessus. 

Les avantages offerts par ces dispositifs sont essentiellement les 
memes que ceux offerts par les precedes correspondents succinctement 
exposes ci-dessus. 

Uinvention vise egalement un programme d'ordinateur contenant 
des instructions telles que, lorsque ledit programme commande un dispositif 
de traitement de donnees programmable, lesdites instructions font que ledit 
dispositif de traitement de donnees met en oeuvre Tun des precedes de 
cryptographie succinctement exposes ci-dessus. 

Les avantages offerts par ce programme d'ordinateur sont 
essentiellement les memes que ceux offerts par les precedes de 
cryptographie succinctement exposes ci-dessus. 

D'autres aspects et avantages de I'invention apparattront a la lecture 
de la description detaillee ci-dessous. 

Considerons un module, note n , qui est en general le produit de / 
grands facteurs premiers (ou />1), notes p l9 ...,p f , dont deux au moins sont 
distincts: 
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n = p l x...x p f , ou p l < ... < /? r et p l <p f . 

A chaque facteur ^ , ou j = l,...,f, on peut associer un entier 
strictement positif b j defini de la maniere suivante: (Pj-l) est divisible par 
2 bj , mais pas par 2 bj+l (autrement dit, bj est le plus grand entier tel que 
5 (pj-l)/2 bj ~ l soit pair). On verifie aisement que bj=l si pj=3mod4 , et 
bj > 1 si pj =1 mod 4 . 

Lorsqu'une entite souhaite devenir un detenteur de cles, elle peut 
demander a une autorite de certification de lui attribuer un module RSA n . 
Uentite construit alors un nombre m>\ de cles privees Q 19 Q 2 ,... } Q ml et publie 
10 ledit module n, un "exposant" v et des cles publiques respectives 

G l9 G 2 ,...,G m . 

Selon Tinvention, ces diverses quantites obeissent aux conditions 
suivantes: 

- Pexposant est de la forme 

15 v = 2 b+k , 

ou b = max(b l ,...,b f ) et k>l, 

- chaque cle publique G. (ou i = l 9 ... 9 m ) est de la forme 

2 af 

G i = g t mod n , 

ou les nombres g i (appeles "nombres de base") sont des entiers strictement 
20 superieurs a 1, et ou les nombres a. sont des entiers tels que \<a. <b et 
tels que Tun d'entre eux au moins est strictement superieur a 1 , et 

- chaque paire de cles {Q i9 G t ) (ou z' = l v .. 5 m ) verifie 

• soit la relation G t = Q" mod n , ( li ) 

• soit la relation G i x = 1 mod n . (Vi) 

25 On peut montrer que, pour que des paires de cles satisfaisant a ces 

conditions puissent exister, il faut que le rang de chaque cle G. par rapport a 

chaque facteur premier p. soit impair. On rappelle a cet egard que "le rang 
X par rapport a p " d'un element x non-nul du corps des entiers modulo p 
(ou p est premier) est le plus petit entier X strictement positif tel que 
30 x x =lmod p (ou les puissances successives de x sont prises modulo p ). 

La condition selon laquelle le rang de G { par rapport a chacun des 
facteurs premiers du module n est impair implique qu'aucun facteur premier 
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p ne peut etre tel que (pj-1) soit egal a une puissance de 2; mais les 

nombres premiers verifiant cette condition (par exemple 3, 5, 17, ou 257) 
sont rares, et meme tres rares si Ton choisit des grands nombres pour les 
facteurs premiers du module. 

5 Cette propriete des cles publiques peut etre obtenue en choisissant 

les entiers g i et a. conformement a la regie suivante: 

a. > h(g f ) mod p. pour tout j = 1,...,/ , 

ou, pour tout entier x non-nul du corps des entiers modulo p (ou p est 
premier), on definit la "hauteur de x par rapport a p'\ notee h(x) mod p , 
10 comme etant la plus grande puissance de 2 qui divise le rang de x par 
rapport a p . 

On va maintenant presenter, a titre d*exemple non limitatif, un mode 
de realisation particulier. 

Selon ce mode de realisation, on choisit les facteurs premiers p. du 

15 module n de telle sorte que Fun au moins d'entre eux soit congru a 1 modulo 
4 (les autres facteurs pouvant etre congrus soit a 1, soit a 3 modulo 4). II 
resulte des proprietes des nombres bj associes enoncees ci-dessus que: 

b>\ . 

De plus, on prend 

20 Gj = gf mod n , pour tout i = l v ..,m . (4) 

On notera que, par contraste, les cles definies dans la demande 
WO-00/45550 (verifiant, comme indique ci-dessus, Q- =g? mod/z) n'existent 
que pour les modules dont tous les facteurs premiers sont congrus a 3 
modulo 4. 

25 On peut montrer que les cles publiques G i definies par Tequation (4) 

sont de rang impair par rapport a chacun des facteurs premiers du module. 

Enfin, on requiert qu'il existe au moins un nombre g s , parmi lesdits 
nombres de base g" 1? ...,g m , et deux nombres p t et p u differents de 2 parmi 
lesdits facteurs premiers p^.^Pf , tels que 

30 - si b t = b u , alors (g s | p t ) = - (g s | p u ) , et (5a) 

- si b t < b u , alors (g s \ Pu ) = -1 , (5b) 

ou les nombres b t et b u (voir definition ci-dessus) sont determines par 
rapport a p t et p u , et (g s \p t ) et (g g \p u ) designent les symboles de 
Legendre de g s correspondants. 
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On rappelle a cet egard que le "symbole de Legendre par rapport a 
p", note ici (x\p), d'un element x non-nul du corps des entiers modulo p 

(ou p est un nombre premier different de 2) est egal a x ip - l)n mod p . On 
montre facilement que {x\p) = Q si x est un multiple de p, (x\p) = +l si x 
5 est egal au carre modulo p d'un autre element du corps, et (x\p) = -l 
sinon. 

Le mode de realisation des equations (5a-5b) represente un 
exemple de mise en ceuvre de I'invention ou les cles satisfont au "critere 
d'equivalence", c'est-a-dire qu'il est impossible, a partir des parametres 
10 publics h, v et G 1 ,G 2 ,...,G m , de calculer (en un temps raisonnable) les cles 
privees Q l ,Q 2 ,...,Q m , a moins de connaitre les facteurs premiers du module. 

En revanche, si Ton connaTt la factorisation du module, on peut 
obtenir les cles privees de la facon suivante. Soit A le plus petit commun 
multiple des nombres -l)/2\ ou j = \,...,f, et soit u le plus petit entier 
15 positif tel que (wxv + 1) soit un multiple de A . Chaque cle privee verifie: 

Q. x G" = 1 mod n si Ton a choisi I'equation (1 i ) (soit G t = Q? mod n ), ou 

Qi = G" mod n si Ton a choisi I'equation (1 ' i ) (soit G,. x Q. v = 1 mod n ). 

On peut egalement calculer les cles privees Q u Q 2 ,...,Q m , au moyens de 
calculs "a la chinoise". 

20 On terminera par quelques remarques concernant les nombres de 

base. 

II a ete constate que les calculs effectues durant la mise en ceuvre 
du precede selon I'invention sont d'autant plus rapides que les nombres de 
base sont faibles. II est done conseille de les choisir aussi petits que 
25 possible. 

Par exemple, on peut choisir les nombres de base parmi les 54 
premiers nombres premiers (le cinquante-quatrieme nombre premier etant 
251). 

En variante, on peut prendre systematiquement les m premiers 
30 nombres premiers comme nombres de base, c'est-a-dire, g x =2, g 2 =3, 
g 2 =5, g 4 =7, g 5 =ll, et ainsi de suite. Cette approche a I'avantage de la 
simplicite, mais elle ne garantit pas que Ton obtienne un jeu de cles 
satisfaisant au critere d'equivalence. Cependant, on peut montrer que la 
proportion de jeux ne satisfaisant pas au critere d'equivalence est inferieure 
35 a 1/2"'; par exemple, pour m = 16 (correspondant a g- 16 =53), cette 
proportion vaut moins de 1/65 536. 
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REVENDICATIONS 



1 . Procede de cryptographie a cles asymetriques mettant en jeu un 
5 detenteur de cles possedant un nombre m>\ de cles privees Q l ,Q 2 ,...,Q m et 
de cles publiques respectives G x ,G 2 ,...,G m , chaque paire de cles (0,G f ) (ou 
i = \,...,m) verifiant soit la relation G t = Q- mod n , soit la relation 
G t x Qi = 1 mod n , ou n est un entier public egal au produit de / facteurs 
premiers prives (ou / >1), notes p u ...,p f , dont deux au moins sont distincts, 
10 et I'exposant v est un entier public egal a une puissance de 2, caracterise en 
ce que 

v = 2 M , 

ou k est un entier strictement positifet b = raax(b ly ...,b f ) , ou b } (ou j = \,...,f) 
est le plus grand entier tel que (j>j -V)l2 b '~ l soit pair, 

15 et en ce que chaque cle publique G,. (ou i = l,...,m ) est de la forme 

G i = gf mod n , 

ou les nombres g t , appeles "nombres de base", sont des entiers strictement 
superieurs a 1, et ou les nombres a t sont des entiers tels que 1 <«,.<£> et 
tels que I'un d'entre eux au moins est strictement superieur a 1 . 

20 2. Procede selon la revendication 1, caracterise en ce que I'un au 

moins desdits facteurs premiers p x ,...,p f est congru a 1 modulo 4, et en ce 

que les entiers a t (ou i = l,...,m ) sont tous egaux audit nombre b . 

3. Procede selon la revendication 1 ou la revendication 2, caracterise 
en ce que il existe au moins un nombre g s , parmi lesdits nombres de base 

25 g l ,...,g m , et deux nombres p t et p u differents de 2 parmi lesdits facteurs 

premiers p x ,...,p f , tels que, compte tenu desdits nombres b x ,...,b f , 

- si b t = b u , alors (g s \p t ) = - (g s \ p u ) , et 
-si b t <b u , alors (g s \ p u ) = -l , 

ou (g s \p,) et (g s \p u ) designent les symboles de Legendre de g s par rapport 

30 a Pt et Pu . 

4. Procede selon Tune quelconque des revendications precedentes, 
caracterise en ce que les nombres de base g 1} ...,g m sont des nombres 
premiers. 
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5. Procede seion Tune quelconque des revendications 1 a 4, dans 
lequel sont mis en presence un controleur et ledit detenteur de cles, appele 
ici "demonstrates", caracterise en ce qu'il comprend les etapes suivantes: 

- le demonstrates choisit aleatoirement un entier r, calcule 
5 "('engagement" R = r v modn, et envoie Tengagement au controleur, 

- le controleur choisit aleatoirement m "defis" d l9 d 2 ,...,d m , ou z = l,... ? m, 
et envoie ces defis au demonstrateur, 

- le demonstrateur calcule la "reponse" 

D = rxQ dl xQ 2 d2 x...xQ m d "> modn , 

10 et envoie cette reponse au controleur, et 

- le controleur calcule 

D v x G' A x G 2 £2dl x ... x G m £mdm mod n 

ou, pour i = l,...,m , s i = +1 dans le cas ou G t x Q? = 1 mod n et e t = -1 dans le 
cas ou G. = Qj mod n , 

15 et verifie que le resultat est bien egal a I'engagement R . 

6. Procede selon Tune quelconque des revendications 1 a 4, 
permettant a un controleur de verifier qu'un message M qu'il a regu lui a 
bien ete envoye par ledit detenteur de cles, appele ici "demonstrateur", 
caracterise en ce quMI comprend les etapes suivantes: 

20 - le demonstrateur choisit aleatoirement un entier r, et calcule d'abord 

Tengagement" i? = r v modn, puis le "titre" T — h(M, R) , ou h est une 
fonction de hachage, et enfin envoie ce titre T au controleur, 

- le controleur choisit aleatoirement m "defis" d 19 d 2 ,...,d m , ou z = l,...,m, 
et envoie ces defis au demonstrateur, 

25 - le demonstrateur calcule la "reponse" 

D = rx Q dx x Q d2 x ... x Qj m mod n , 

et envoie cette reponse au controleur, et 

- le controleur calcule 



30 ou, pour i = l,...,m , e x = +1 dans le cas ou G i x Q. v = 1 mod n et s. = -1 dans le 
cas ou G t = Qi mod n , 

et verifie que le resultat est bien egal au titre T . 
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7. Procede selon la revendication 5 ou la revendication 6, caracterise 
en ce que les defis verifient 0 < d. < 2 k -1 pour i = l,...,m . 

8. Procede selon Tune quelconque des revendications 1 a 4, 
permettant audit detenteur de cles, appele ici "signataire", de signer un 

5 message M qu'il envoie a un controleur, caracterise en ce qu'il comprend 
les etapes suivantes: 

- ie signataire choisit aleatoirement m entiers r n ou * = l,...,/w , et calcule 
d'abord les engagements R = r v modw., puis Ie titre T = h(M 9 R l9 R 19 ... 9 R m ) , ou 
h est une fonction de hachage produisant un mot de m bits, et enfin envoie 

10 ce titre T au controleur, 

- Ie signataire identifie lui-meme les bits d l9 d 29 ... 9 d m du titre T , 

- Ie signataire calcule les "reponses" D t = r t x Q t d] mod // , et envoie ces 
reponses au controleur, et 

- Ie controleur calcule 

15 h(M 9 A v x G* ldl mod n 9 D 2 V x mod n 9 ... 9 D m v x G m £mdm mod n) 

ou, pour i = l,...,m , ^ = +1 dans Ie cas ou G t x Q v = 1 mod n et ^ = -1 dans Ie 
cas ou G i = Q? mod n , 

et verifie que Ie resultat est bien egal au titre T . 

9. Circuit electronique contenant un processeur et des memoires, 
20 caracterise en qu'il peut etre programme pour mettre en ceuvre, en tant que 

ledit detenteur de cles, un procede selon Tune quelconque des 
revendications 1 a 8. 

10. Circuit electronique dedie, caracterise en qu'il contient des 
microcomposants lui permettant de traiter des donnees de maniere a mettre 

25 en oeuvre, en tant que ledit detenteur de cles, un procede selon Tune 
quelconque des revendications 1 a 8. 

11. Objet portable destine a etre connecte a un terminal pour 
echanger des donnees avec ce terminal, caracterise en ce qu'il contient un 
circuit electronique selon la revendication 9 ou la revendication 10, et en ce 

30 qu'il est apte a stacker des donnees d'identification et des cles privees 
propres audit detenteur de cles. 

12. Terminal apte a etre connecte a un objet portable pour echanger 
des donnees avec cet objet portable, caracterise en ce qu'il comporte un 
dispositif de traitement de donnees programme pour mettre en oeuvre, en 

35 tant que ledit controleur, un procede selon I'une quelconque des 
revendications 1 a 8. 

13. Systeme de cryptographie comprenant un objet portable selon la 
revendication 11 et un terminal selon la revendication 12. 
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14. Moyen de stockage de donnees inamovible comportant des 
instructions de code de programme informatique pour Pexecution, en tant 
que ledit detenteur de cles, des etapes de Tun quelconque des procedes 
d'un precede selon Tune quelconque des revendications 1 a 8. 

5 15. Moyen de stockage de donnees partiellement ou totalement 

amovible, comportant des instructions de code de programme informatique 
pour Pexecution, en tant que ledit detenteur de cles, des etapes d'un precede 
selon Tune quelconque des revendications 1 a 8. 

16. Dispositif de traitement de donnees comprenant un moyen de 
10 stockage selon la revendication 14 ou la revendication 15. 

17. Moyen de stockage de donnees inamovible comportant des 
instructions de code de programme informatique pour Pexecution, en tant 
que ledit controleur, des etapes de Pun quelconque des procedes d'un 
precede selon Tune quelconque des revendications 1 a 8. 

15 18. Moyen de stockage de donnees partiellement ou totalement 

amovible, comportant des instructions de code de programme informatique 
pour Pexecution, en tant que ledit controleur, des etapes d'un precede selon 
Tune quelconque des revendications 1 a 8. 

19. Dispositif de traitement de donnees, caracterise en ce qu'il 
20 comprend un moyen de stockage selon la revendication 17 ou la 

revendication 18. 

20. Systeme de cryptographie comprenant un dispositif de traitement 
de donnees selon la revendication 16 et un dispositif de traitement de 
donnees selon la revendication 19. 

25 21. Programme d'ordinateur contenant des instructions telles que, 

lorsque ledit programme commande un dispositif de traitement de donnees 
programmable, lesdites instructions font que ledit dispositif de traitement de 
donnees met en oeuvre un precede selon Tune quelconque des 
revendications 1 a 8. 
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